← Retour au blog
Bulletin de sécurité 7 min de lecture

Contournement d'authentification Honeywell CCTV + Violation de 1M de comptes Figure

La CISA met en garde contre une vulnérabilité critique des caméras Honeywell (CVSS 9.8) permettant un accès non autorisé. La violation de Figure fintech expose près d'un million de comptes par ingénierie sociale. Quatre extensions VS Code avec plus de 125M de téléchargements contiennent des failles critiques. Un bug Microsoft Copilot contourne les politiques DLP depuis janvier.


Critique : Contournement d'authentification Honeywell CCTV

Avis CISA : CVE-2026-1670 — CVSS 9.8

La CISA alerte sur une vulnérabilité critique affectant plusieurs produits de vidéosurveillance Honeywell utilisés dans les infrastructures critiques. Les attaquants peuvent détourner des comptes et accéder aux flux des caméras sans authentification.

Découverte par le chercheur Souvik Kanda, CVE-2026-1670 est classée comme « authentification manquante pour une fonction critique ». La faille permet à un attaquant non authentifié de modifier l'adresse e-mail de récupération associée à un compte d'appareil, permettant une prise de contrôle totale du compte.

Modèles affectés

Modèle Version du firmware
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Ces caméras conformes NDAA sont déployées dans les agences gouvernementales américaines, chez les sous-traitants fédéraux et dans les installations critiques. La CISA recommande :


Figure Fintech : 967 000 comptes compromis

ShinyHunters revendique la responsabilité de l'attaque par ingénierie sociale

La société fintech basée sur la blockchain Figure Technology Solutions a subi une violation affectant près d'un million de comptes. L'attaque a été menée par ingénierie sociale.

Figure, qui a débloqué plus de 22 milliards de dollars en fonds propres immobiliers avec plus de 250 partenaires incluant des banques, des coopératives de crédit et des fintechs, a confirmé l'incident à TechCrunch. Les attaquants ont utilisé l'hameçonnage vocal (vishing) pour inciter un employé à fournir un accès.

Données exposées

Le groupe d'extorsion ShinyHunters a publié 2,5 Go de données de milliers de demandeurs de prêts sur leur site du dark web. Cela fait partie d'une campagne plus large ciblant les comptes SSO chez Okta, Microsoft et Google dans plus de 100 organisations de premier plan.

🎯 Schéma d'attaque

Les attaquants se font passer pour le support informatique, appellent les employés et les incitent à saisir leurs identifiants et codes MFA sur des sites de phishing imitant les portails de connexion de l'entreprise. Une fois connectés, ils accèdent aux applications d'entreprise connectées, notamment Salesforce, Microsoft 365, Google Workspace, Slack et Dropbox.


Extensions VS Code : plus de 125M de téléchargements affectés

Des failles critiques permettent l'exfiltration de fichiers et l'exécution de code à distance

Les chercheurs d'OX Security ont découvert plusieurs vulnérabilités dans quatre extensions VS Code populaires. Trois CVE restent non corrigées.

« Un pirate n'a besoin que d'une seule extension malveillante, ou d'une seule vulnérabilité dans une extension, pour effectuer un mouvement latéral et compromettre des organisations entières », ont averti les chercheurs.

CVE Extension CVSS Impact
CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux via un site malveillant
CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution arbitraire de JavaScript via un fichier .md
CVE-2025-65715 Code Runner 7.8 Exécution arbitraire de code via settings.json
Microsoft Live Preview Exfiltration de fichiers sensibles (corrigé en v0.4.16)

Actions immédiates


Microsoft Copilot contourne les politiques DLP

Bug actif depuis le 21 janvier — Résumé d'e-mails confidentiels

Un bug de Microsoft 365 Copilot a provoqué la génération de résumés d'e-mails confidentiels par l'assistant IA, contournant les politiques de prévention de perte de données (DLP) qui protègent les informations sensibles.

Suivi sous le numéro CW1226324, ce bug affecte la fonction de chat « onglet travail » de Copilot. Il lit et résume incorrectement les e-mails dans les dossiers Éléments envoyés et Brouillons — y compris les messages avec des étiquettes de confidentialité explicitement conçues pour restreindre l'accès par les outils automatisés.

Chronologie

Microsoft a déclaré : « Cela n'a donné à personne l'accès à des informations auxquelles il n'était pas déjà autorisé à accéder... Une mise à jour de configuration a été déployée mondialement pour les clients entreprise. »

Recommandation pour les entreprises

Examinez les journaux d'activité de Copilot pour la période depuis le 21 janvier. Vérifiez que le contenu étiqueté comme sensible n'a pas été inclus par inadvertance dans les résumés de Copilot partagés au-delà des destinataires prévus.


Autres titres

Le Texas poursuit TP-Link pour des risques de piratage chinois

Le Texas a poursuivi TP-Link Systems, accusant l'entreprise de commercialiser de manière trompeuse ses routeurs comme sécurisés tout en permettant à des pirates soutenus par l'État chinois d'exploiter les vulnérabilités du firmware.

Opération INTERPOL Red Card 2.0

651 arrestations dans 16 pays africains. Plus de 4,3 millions de dollars récupérés. L'opération ciblait les fraudes à l'investissement, les arnaques par mobile money et les applications de prêt frauduleuses liées à 45 millions de dollars de pertes.

PromptSpy : Premier malware exploitant Gemini AI

ESET a découvert un malware Android qui utilise Gemini AI de Google pour maintenir sa persistance. Le malware exploite l'IA générative pour analyser les écrans et générer des instructions étape par étape pour rester épinglé dans les applications récentes.

Un pirate nigérian condamné à 8 ans pour fraude fiscale

Condamné pour avoir piraté plusieurs cabinets de préparation fiscale dans le Massachusetts et déposé des déclarations frauduleuses demandant plus de 8,1 millions de dollars de remboursements.


Les chiffres du jour

Indicateur Valeur
Comptes affectés par la violation de Figure 967 200
Sévérité du CVE Honeywell (CVSS) 9.8
Téléchargements d'extensions VS Code à risque 125M+
Durée du contournement DLP par Copilot ~30 jours
Arrestations INTERPOL (Op Red Card 2.0) 651
Organisations ciblées par ShinyHunters 100+

Priorités du jour

  1. ISOLER : Les systèmes de vidéosurveillance Honeywell — appliquer la segmentation réseau immédiatement
  2. AUDITER : Les extensions VS Code — désactiver Live Server, Markdown Preview Enhanced, Code Runner jusqu'à correction
  3. FORMER : Sensibilisation à la sécurité sur les attaques de vishing (méthode ShinyHunters)
  4. VÉRIFIER : La conformité DLP de Microsoft Copilot — examiner l'activité depuis le 21 janvier
  5. RÉVISER : Les contrôles de sécurité SSO — résistance au contournement de la MFA

Protégez votre organisation avec KENSAI

Gestion des vulnérabilités alimentée par l'IA avec plus de 333 000 CVE indexées.

Lancer un scan gratuit

Restez en sécurité. Restez vigilants.

🗡️ L'équipe sécurité KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home